作者：黄志雄 王楚乔 

来源：网络空间国际法前沿

2017年6月22日，谷歌公司高级副总裁兼总法律顾问肯特·沃克（Kent Walker）在华盛顿传统基金会发表了主题为“数字安全与正当程序”的讲话。肯特·沃克代表谷歌呼吁达成一个新的框架，以此平衡执法需求及个人用户的隐私保护。为此，谷歌发布了《数字安全与正当程序：云时代的政府跨界准入标准的现代化》（Digital Security & Due Procedure：Modernizing Cross-Border Government Access Standards for the Cloud Era）白皮书。本文拟对这一白皮书的发布背景和主要内容进行介绍，并给予简要评价。

一

背景

当今世界，互联网数据是现代全球政治、经济及文化命脉。跨境数据流动将继续以高于全球贸易总速度的速度增长。随着云计算等技术的迅速普及，不仅信息产业还有传统产业都越来越依赖于大量的数据。例如，企业收集和分析个人数据，以便更好地了解顾客的偏好和支付意愿，并相应地调整它们的产品和服务从而占据市场主动权；政府执法时，需要电子邮件服务运营商提供当事人的邮件内容。企业利用数据创造价值，政府利用数据来管理，这些只能在跨境数据自由流动的情况下才能正常运作。但是，目前跨境数据的自由流动面临着一些限制，例如政府出于维护网络安全以及管辖便利的目的，在制定网络政策时存在着这样的趋势，即要求网络运营商在本地存储数据又禁止其向境外提供数据。

在这种政策趋势的背景下，上述企业和政府利用数据的行动一旦涉及到跨国实施时，就会面临很多困难。例如对企业来说，坐拥个人数据的企业越来越处在两难境地，对于遵守何国法律感到无所适从。对政府来说，在政府执法中，要获取存储于国外的数据必须经过繁琐的程序，完成这些程序可能会需要几个月甚至更长时间，这直接导致破案效率的低下，造成对安全的威胁，并且进一步导致政府在实际操作中会越来越依靠不合规的方式获取数据，这样很容易侵犯隐私权。

二

白皮书的主要内容

一方面，互联网数据的自由流动存在重要价值，另一方面，各国对于网络安全的关切不可忽视。那么，政府应该如何适当地管理跨境数据的流动？谷歌在2017年发布此白皮书，就是在这一背景下，以非国家行为体的身份对于网络空间国际规则的制定加以推动。白皮书的主要内容涉及当前各国执法行动中获取个人数据存在的问题、解决途径和操作方式等方面，具体如下：

（一）当前存在的问题

1. 美国《电子通讯隐私法》（Electronical Communication Privacy Act，简称ECPA）过时了，欧盟大多数成员国也有封锁条款（禁止本国网络服务提供商向外国政府提供数据）。政府执法时获取数据不及时，导致案件的拖延，尤其是在网络攻击及恐怖主义犯罪上的耽误往往会产生严重的后果；

2. 司法互助条约（Mutual Legal Assistance Treaty，简称MLAT）实施情况堪忧。一般通过外交途径先向司法部提出要求，再找到网络服务提供商。而由于各国法律存在差异，在实施过程中会有很多理解上的偏差导致的拖延，随着近几年工作量的剧增，其有关司法互助人员、机构的配备已远远不满足需求；

3. 基于以上原因，出于效率及国家安全的考虑，政府会在黑客、监控技术上加大投入，寻求其他不合规的秘密方式搜寻证据；

4. 虽然通讯技术与时俱进、日益革新，但公民隐私在这个过程中得不到保护，政府权力会被滥用；

5. 政府会基于管辖便利，要求网络服务提供商数据本地化储存，同时网络服务提供商越来越处于两难境地，是遵守母国还是东道国的法律？这种全球化的趋势会导致执法延迟的恶性循环。

（二）解决途径

1. 寻求司法互助条约的替代方式，使得符合条件的民主政府能够直接向服务提供商要求提供所需要的证据；

2. 因为互联网数据都是云储存，缺乏边界性的概念，不要通过数据存储地不同国家各自为政地保护隐私，而是通过统一的技术革新，隐去用户身份这类的识别信息来保护隐私权；

3. 更新司法互助条约的执行过程，引入线上操作系统使之标准化、现代化。

（三）操作方式

1. 划定一条“隐私、正当程序和人权基线标准”（Baseline of privacy，due process and human rights principles），使得基线以上的政府可以直接向美国的网络服务提供商提出执法请求，同时也鼓励其他国家提高自身人权标准，由美国司法部和国务院来判断这个国家是否是适格主体；

2. 例如该国必须表现出“不歧视及尊重法治”原则，遵守包括但不限于“不得非法干涉隐私保护，公民享有公正审判、表达自由与和平集会的权利，禁止任意逮捕和拘留，禁止酷刑和残忍、不人道或有辱人格的待遇或处罚，政府决策必须接受法院、法官或司法专员、其他独立机构监督”等规则；

3. 由美国国会制定《国际通信隐私法》（International Communication Privacy Act，简称ICPA）对《电子通讯隐私法》进行立法改革，通过引入以下几个标准使之升级为更能灵活平衡包含外国政府和非美国公民在内的各方利益的一个法律框架：（1）内容搜查令，建立一项专门用于搜查电子邮件所有内容的许可证制度；（2）数据位置，不能根据数据本身位置来决定执法者可否获取；（3）通知，当一国政府在其领土管辖范围内向网络服务提供者请求数据或者要求获取境外的本国公民的信息时，需要履行通知义务，即便有司法互助条约的国家也要履行；（4）司法救济和礼让因素，允许一国在接到通知后有获得申请国司法救济的权利，受理法院应进行礼让分析；（5）互惠原则，根据本国法律将上述权利赋予给其他国家的国家有权享有同等待遇；

4. 现代化司法互助协议操作流程。建立一个网上立案系统，外国执法者可利用统一格式的电子表格在网上提交申请；同时本国简化审查步骤，例如外事办公室的检察官直接提交文件给法院审查；建立人员培训机制，增进两国法律互信，澄清可适用的法律；政府在这方面提供更多的人员、资源及财政支持等。

最后，白皮书还提到了参见“全球网络倡议”（Global Network Initiative，简称GNI）在2015年的“超越边界的数据——网络时代的司法互助”（Data Beyond Borders：Mutual Legal Assistance in the Internet Age）议题中提供的额外建议。这份文件规定得更加具体，例如处理时间要有可测量性（Scalability），设置30天的上限；司法互助条约的修改可以通过总统签署行政协定的方式更高效；考虑设置第三方独立的机构专门处理跨界数据请求等。

三

评析

（一）现有立法的局限性

从美国立法上来看，在这份白皮书发布之前，美国有关跨境数据流通管理的法律主要是1986年制定通过的《电子通讯隐私法》。但随着跨境数据流通的价值日益突显，该法律的滞后性引发了修改立法的讨论。2016年的微软案激发了讨论，随后2017年的谷歌案则是让讨论达到高潮。

2016年7月14日，位于纽约的美国第二巡回上诉法庭在一起政府官员的毒品调查案中，针对微软公司做出判决，认为微软可以拒绝向美国政府提供存储于爱尔兰都柏林的个人数据。法庭认为信息作为微软的商业记录可以通过传票获取，但不能说通过传票获取本该由微软公司存储的个人隐私。在基于不同理由投赞成票的法官来看，国会修改立法势在必行，因为《电子通讯隐私法》已经严重过时了。这个判决的作出引起轩然大波，科技公司及人权运动者对此判决表示欢迎，反对者则认为会危害国家安全，比如给俄罗斯拒绝提供数据的权力。但最后于2017年2月4日，该法庭宣布不再重新审议该决定，维持原判。

2017年2月6日，同样的情况，美国法院对于谷歌案的判决结果却截然相反。美国费城地方法官Thomas Rueter要求谷歌提交存储在美国境外的用户邮件，配合联邦调查局对一起国内欺诈案的调查， Thomas Rueter法官认为提交给FBI个人信息合法，将信息公之于众才构成侵犯隐私。在提交给法院的文件中，谷歌表示，有时为了保证网络性能，他们会将邮件拆分成几个部分，因此即使他们也不清楚特定的邮件到底存储在哪里。基于此前微软案的判决，谷歌称他们已经非常配合相关调查，提交了公司所知的存储在美国的数据，所以针对此判决明确表示了上诉。同年9月1日，美国阿拉巴马州地区法院维持了原审法院判决。这两起案件的判决，依据的都是1986年制定通过的《电子通讯隐私法》中第二部分《存储通信保护法》（Storage Communication Act，简称SCT）中Section 2701-2703。无论是判决案件的部分法官还是一些科技公司和人权运动者都提出了《电子通讯隐私法》已经过时的说法，在2016年7月15日美国司法部也宣称将立即提交至国会立法，但直到现在，美国仍未修改其关于跨境数据管理的法律。

从国际立法层面上看，有关个人数据本身的立法呈现碎片化趋势，相应的执法管理规则也较为割裂。与美国强化数据自由流动的倾向不同的是采取收紧政策的欧盟，如众所知欧盟在个人数据保护上一直走在前沿，这也意味着在实行外国政府准入时会更加严苛。2016年2月美欧之间的《隐私盾协议》（EU-US Privacy Shield）旨在强调实施跨境数据传输的美国企业必须履行充分性保护的义务以及增加美国政府执法的准入标准和透明度，其重点并不在于企业如何科学处理合法合理的政府执法需求。2016年4月通过的《一般数据保护条例》再次严格限定了数据向欧盟成员国境外跨境流动的条件；2014年非盟发布的《网络安全和个人数据保护公约》加入了数据保护的内容并对打击网络犯罪作了较为详尽的规定，因为非洲存在信息技术落后、社会问题复杂的特点使得其往往成为网络犯罪分子的“避风港”，所以对于打击网络犯罪仍是局限于国内监管上； 2006年《俄罗斯个人数据法》规定了个人数据跨境传输的“同等保护”原则，即规定被传输国需要具备对数据“同等保护”的水平。2014年修改了《关于信息、信息技术和信息保护法》以确立企业严格的法定义务实现了政府对数据的全面管控。2017年俄罗斯与我国都通过的网络安全立法主要针对关键信息基础设施作出了相关规定，但在有关跨境执法上依然存在空白。我国《网络安全法》第三十七条要求关键信息基础设施的服务提供商境内存储数据，提供给境外的行为未明确禁止，但仍缺乏具体的可操作性。

（二）对白皮书的反响

目前美英正在谈判一项允许两国科技公司对各执法者提供电子数据的双边协议，而新西兰通过了一项禁止网络运营商向境外提供电子数据的法案。因为不同国家对于数据流动的自由度的边界看法不一，谷歌白皮书的发布，更引起了人们对各国在数据流动中设置障碍的热烈讨论。首先要明确的是，数据流的完全切断是不可取的，因为这将阻碍数据流动并使外国公司与各国执法者都处于不利地位。至于对谷歌在数据流动方面的建议，尽管美国有部分学者基于国家安全的考虑对此持保留意见，但大部分包括企业高管、政府官员以及学者对白皮书的主要内容持支持态度，觉得美国国会立法是必经途径，并且也认为这种改革的终极好处是美国能借此机会引领全球化正当程序和隐私标准的制定。他们也认识到：尽管谷歌出台的文件表明全球最大的互联网公司的总部多数在美国、受美国法律管辖，所以美国的政策改革至关重要；但互联网同时也由各中小科技公司构成，对于这些全球范围内超过60000家的中小科技企业，它们缺乏资源来处理在每个国家都可能有的繁琐的限制，常见的有要求企业存储数据的副本、只能在本地存储数据、或传输数据必须经过政府审批。所以，要增加消费者、政府、网络服务提供者的互信，美国即便成功改革，也需要对内、对外两个层面上的多边合作。2017年7月27日，谷歌法务主管萨加多（Richard Salgado）发表主题为“监控法律现代化的重要一步”的讲话，提到参议员Hatch Coons 和Heller再次提出了已在2016年5月份提出的《国际通讯隐私法》的目标。可以预见的是，美国政府的立法改革指日可待。

对于发展中国家来说，谷歌发布的这份白皮书就显得有些不太“友善”。对于信息技术发展较为滞后、对于网络空间进入较晚的发展中国家来说，近年来才提出网络主权的理念。其执法需求与数据安全本身就具有博弈关系。而且白皮书中所反对的数据本地化倾向，美国自身是要承担更多责任的。例如欧盟规定的数据留存主体通常是指通信设备制造商、信息服务提供商，主要负责数据的安全保存和及时销毁；美国“9.11”之后《爱国者法案》规定的数据留存主体包括所有通信服务企业；而我国规定的主体仅仅是关键信息基础设施运营者。抛开立法层面，从数据利用率上来说，美国是互联网大国，在数据存储上非常强势，欧盟一直跟美国在数据流向问题上争论不休，但始终不能挽回本土用户数据回传的命运。这种地位的不对等会造成谷歌白皮书说服力的减弱，因为采取数据本地化存储确实是最大程度保障国家数据主权的方式，何况美国自身更是数据本地化的最大受益方。

（三）企业对于网络空间国际规则制定的参与

在谷歌出台这份有关跨境数据执法的白皮书前，微软分别在2014年和2016年发布了关于网络安全的立场文件，虽然两者落脚点有所不同，但出发点都是敦促国家履行立法职责、填补法律漏洞，将文件中的准则推动至具有法律约束力的轨道上运行。有些学者认为：“之所以出现这种情况，是由于国家怠于立法，而怠于立法的原因正是国家认为这种法律上的模糊性能让其享有更广泛的权利，正如以往美苏冷战时期对外太空的规制置之不理一样”。在国际法其他领域，国家往往会通过立法、缔结条约巩固在国际社会中的权力关系中的影响力，而在网络空间这一新兴领域中，却出现了“学者立法”“企业立法”这些非国家行为体参与立法的倾向，前者最著名的无疑是由网络合作防御卓越中心（CCDCOE）关于规制网络战以及和平时期网络行动的《塔林手册》（Tallinn Manual）1.0版和2.0版。这些趋势表明了国家的“缺位”，但不代表未来这个缺位是持续的。无论是谷歌还是微软的白皮书，都指向国家立法才是解决网络空间困境的必经之路。

同时，我们也应认识到，在网络空间中企业先于国家更积极参与规则制定可能是必然趋势。因为网络空间的国际法领域，相较于传统领域来说更加复杂，传统领域国际习惯法的形成依赖于国家的实践，而在参与者大部分由匿名的非国家行为体构成的网络空间，个人、企业和政府都是利用互联网数据的重要主体。国家行为体可能出于前述原因行动不及时，使法律出现一些“真空”区域。谷歌、微软等企业，作为举足轻重的网络服务提供者，在数据存储传输上掌握丰富的资源和实践，当规则不足以涵盖网络空间的必要方面时，首当其冲受到负面影响的正是这些直接参与者。正如国家的实践能形成习惯法一样，作为互联网参与者的企业自己所提出的目标必然具有更强的现实意义和参考价值，即便目前这些文本不具有约束力，也不能形成国家实践，但这必然是一个至关重要的中间阶段，最终会使国家形成一个更加严格规范的在网络空间中的约束系统，且当评估国家实践时，这些企业的参与也会是一个衡量指标。

四

结语

云时代的核心是对数据的云计算，数据已是支撑国家安全与发展的重要战略资源，因为我们已经从一个对单个数据进行精确分析的时代过渡到一个对大规模数据进行整合从而使社会更高效运转的时代，这种信息搜索、提取方式的根本性改变使得数据的跨境流动成为必然，也同时让数据的曝光超出了预期。谷歌这份文件提出了关于政府跨境执法取证存在的问题和可能的解决途径，诚然，我们的确需要认识到对数据的进出口管制已经对全球范围内的通信服务提供商产生了影响并且造成了一些执法瓶颈和个人数据安全危机，各国即便是基于国家安全和经济安全也应在制定数据保护政策时保持谨慎。互联网科技发展势头如日中天，技术水平的差异必然扩大各国的数字鸿沟，完全禁止数据跨境流动只会创造信息孤岛，使当事国被排除在世界网络体系之外。但同时，我们也必须认识到，对于立法不完善和技术不发达的国家而言，完全放开数据管制将会对主权完整性带来严峻挑战。可以看到这份文件仍是站在美国视角提出的解决模式，美国作为数据信息技术起步早、市场份额占有率高和处在科技前沿的大国，在网络空间中相较于其他国家有明显的能力优势，它倾向于鼓励数据流动并固化“数据占有和利用”的差距。从数据请求的数量上看，世界上大部分跨境数据执法请求会向美国提出，在掌握绝对主动权的情况下，其在判断请求国是否符合民主人权标准时又必然具有鲜明的西方好恶，这个标准由谁制定，是否公平，是否会间接造成干涉内政都有待进一步考证。毕竟四年前的“棱镜门”事件还历历在目，美国自身在个人数据隐私的保护上是不容置喙的，那由美国制定的“人权评分标准”的可信度就值得商榷了。

参考文献
1. Kent Walker, Digital Security and Due Process: Modernizing Cross-Border Surveillance Law for the Cloud Era, http://www.heritage.org/technology/event/digital-security-and-due-process-modernizing-cross-border-surveillance-law-the.
 2. Richard Salgado, A Significant Step toward Modernizing Our Surveillance Laws, https://www.blog.google/topics/public-policy/significant-step-toward-modernizing-our-surveillance-laws/.
3. Jennifer Daskal, Cross-Border Access to Data: Google’s Senior VP Weighs In, https://www.justsecurity.org/42489/cross-border-access-data-googles-general-counsel-weighs/.
4. Google to Appeal Against Order to Hand Over User Emails Stored OutsideUS, https://www.theguardian.com/technology/2017/feb/06/google-gmail-to-appeal-against-order-to-hand-over-user-emails-stored-outside-us.
 5. Lawmakers Must Fix Cross Border Access to Data, https://www.i2coalition.com/lawmakers-must-fix-cross-border-access-to-data/.
6. Microsoft Corporation v. United States of America, Docket No. 14-2985 (2016), http://digitalconstitution.com/wp-content/uploads/2016/07/Decision-opinion.pdf.
7. In re Search Warrant No.16-1601-M to Google, Memorandum of Decision(Feb. 3, 2017), https://www.washingtonpost.com/news/volokh-conspiracy/wp-content/uploads/sites/14/2017/02/Opinion.pdf?tid=a_inl.
8. Nigel Cory, Cross-Border Data Flows: Where Are the Barriers and What Do They Cost,https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost.
9. Microsoft, International Cybersecurity Norms: Reducing Conflict in an Internet-Dependent World, http://download.microsoft.com/download/7/6/0/7605D861-C57A-4E23-B823-568CFC36FD44/International_Cybersecurity_%20Norms.pdf.
10. Microsoft, From Articulation to Implementation: Enabling Progress on Cybersecurity Norms, https://mscorpmedia.azureedge.net/mscorpmedia/2016/06/Microsoft-Cybersecurity-Norms_vFinal.pdf.
11. Kubo Macak，From Cyber Norms to Cyber Rules：Re-Engaging States as Law-Makers，https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2961821.
12. Stephanie Condon, Google Pitches New Legal Framework for Cross-Border Data Handling, http://www.zdnet.com/article/google-pitches-new-legal-framework-for-cross-border-data-handling/.
13. In re Search Warrant No.16-1601-M to Google, Memorandum Opinion and Order(Sep. 1 2017), Westlaw.
14. 果园：《网络安全法》数据留存法律制度的解构与建议，http://theory.people.com.cn/n1/2016/0622/c40531-28469970.html.
15. 黄道丽，何治乐：欧美数据跨境流动监管立法的“大数据现象”及中国策略，《情报杂志》2017年第4期。
16. 何波：《俄罗斯跨境数据流动立法规则与执法实践》，《大数据》2016年第6期。
17. 西安交通大学信息安全法律研究中心，《2014年中国云计算安全政策与法律蓝皮书》。